Ypsilondev
DSGVO & Recht

DSGVO-konforme Website: Kosten & Pflichten 2026

Zwischen Abmahn-Angst und Budgetplanung stellen sich viele Unternehmer dieselbe Frage: Was kommt bei einer DSGVO-konformen Website an Kosten auf mich zu – und welche Pflichten gelten überhaupt für meinen Betrieb? Die gute Nachricht vorweg: Datenschutz auf der Website ist kein Fass ohne Boden. Die meisten Anforderungen sind einmalig sauber umsetzbar, und die Kosten dafür sind planbar – ganz im Gegensatz zu dem, was eine Abmahnung oder eine Behördenbeschwerde kostet.

Trotzdem herrscht gerade bei kleinen und mittleren Unternehmen viel Unsicherheit. Der Handwerksbetrieb mit der fünf Jahre alten WordPress-Seite, die Praxis mit dem Baukasten-Auftritt, das Restaurant mit der eingebetteten Google-Karte: Sie alle verarbeiten personenbezogene Daten ihrer Besucher, oft ohne es zu wissen. Und genau diese unbewussten Verstöße sind es, die Abmahnanwälte gezielt suchen – weil sie sich automatisiert aufspüren lassen.

In diesem Artikel bekommst Du den Überblick aus Agentursicht: welche Pflichten gelten, welche Kostenfaktoren wirklich zählen, welche Fehler am teuersten werden – und wie Du Deine Website in zehn Minuten selbst überprüfst.

Diese DSGVO-Pflichten gelten für jede Unternehmenswebsite

Egal ob Ein-Mann-Betrieb oder Mittelständler mit 200 Mitarbeitern: Sobald Deine Website geschäftlich betrieben wird, gelten dieselben Grundpflichten. Die wichtigsten im Überblick:

  • Impressum: Streng genommen keine DSGVO-Pflicht, sondern eine aus dem Digitale-Dienste-Gesetz – aber der Klassiker unter den Abmahngründen. Vollständig, leicht auffindbar, mit allen Pflichtangaben.
  • Datenschutzerklärung: Sie muss jede Datenverarbeitung auf Deiner Website abdecken – vom Kontaktformular über eingebettete Videos bis zum Hosting. Eine veraltete Vorlage mit falschen oder fehlenden Diensten ist fast so problematisch wie gar keine.
  • SSL-Verschlüsselung: Ohne HTTPS werden Formulardaten im Klartext übertragen. Das ist ein direkter Verstoß gegen die Pflicht zu angemessenen technischen Schutzmaßnahmen – und für Besucher sofort sichtbar.
  • Einwilligung vor dem Tracking: Statistik-Tools, Marketing-Pixel und viele eingebettete Inhalte dürfen erst laden, nachdem Deine Besucher aktiv zugestimmt haben. Ein Banner, das nur informiert, reicht nicht.
  • AV-Verträge mit Dienstleistern: Mit jedem Anbieter, der Daten für Dich verarbeitet – allen voran Deinem Hoster –, brauchst Du einen Auftragsverarbeitungsvertrag.
  • Datensparsamkeit: Dein Kontaktformular darf nur abfragen, was Du wirklich brauchst. Zwölf Pflichtfelder für eine simple Terminanfrage sind nicht nur schlechte Nutzerführung, sondern auch ein Datenschutzproblem.

Wichtig zu verstehen: Diese Pflichten hängen nicht von Deiner Unternehmensgröße ab, sondern davon, was Deine Website technisch tut. Eine schlanke Visitenkarten-Seite hat entsprechend wenig zu regeln – ein Online-Shop mit Tracking, Newsletter und Zahlungsanbietern deutlich mehr.

DSGVO-konforme Website: Welche Kosten kommen auf Dich zu?

Die ehrliche Antwort: Es kommt auf den Zustand und den Umfang Deiner Website an. Eine pauschale Zahl wäre unseriös – aber die Kostenfaktoren lassen sich klar benennen:

MaßnahmeWovon der Aufwand abhängt
Datenschutzerklärung & ImpressumAnzahl der eingesetzten Dienste und Tools
Cookie-Banner / Consent-ToolEinrichtung plus meist laufende Lizenzkosten
Google Fonts & Skripte lokal einbindenTheme und Anzahl externer Quellen
Karten, Videos & Social-Media-Embeds absichernZahl der Einbettungen, gewählte Lösung
SSL & technische HärtungHosting-Umgebung, Alter der Installation
AV-Verträge & DokumentationAnzahl der Dienstleister

In der Praxis bewegt sich die nachträgliche DSGVO-Optimierung einer typischen KMU-Website meist in einem überschaubaren, einmaligen Rahmen – bei komplexen Seiten mit vielen Diensten entsprechend darüber, dazu meist laufende Kosten für ein Consent-Tool. Verbindlich beziffern lässt sich das erst nach einem Blick auf die konkrete Website, deshalb starten wir bei ypsilon.dev jede DSGVO-Optimierung mit einer Bestandsaufnahme.

Deutlich günstiger ist es übrigens, Datenschutz von Anfang an mitzudenken. Wenn Du gerade eine neue Website erstellen lässt, kostet die konforme Umsetzung kaum Mehraufwand – lokale Schriften, sauberes Consent-Setup und eine passende Datenschutzerklärung gehören dann einfach zum Projekt. Nachträgliches Aufräumen ist immer teurer als richtiges Bauen.

Ein Sonderfall sind Online-Shops: Hier kommen Zahlungsdienstleister, Kundenkonten, Bestelldaten und oft Newsletter-Tools dazu. Wer einen Online-Shop erstellen lässt, sollte das Thema Datenschutz deshalb von Tag eins im Pflichtenheft haben – die Nachrüstung bei laufendem Betrieb ist aufwendiger und riskanter.

Die meisten Datenschutzverstöße auf KMU-Websites sind keine bösen Absichten, sondern technische Altlasten. Drei Klassiker begegnen uns bei Website-Checks immer wieder:

Google Fonts direkt von Google-Servern

Der bekannteste Fall: Lädt Deine Website Schriften direkt von Google, wird die IP-Adresse jedes Besuchers an Google übertragen – ohne dass der Besucher zustimmen konnte. Das Landgericht München hat 2022 entschieden, dass genau das unzulässig ist, und damit eine ganze Abmahnwelle ausgelöst. Das Tückische: Viele WordPress-Themes und Page-Builder binden Google Fonts standardmäßig extern ein, ohne dass Du davon etwas mitbekommst. Die Lösung ist technisch einfach: Schriften lokal statt extern laden.

Das Banner, das nichts blockiert

Der häufigste Cookie-Banner-Fehler ist kein juristischer, sondern ein technischer: Das Banner sieht ordentlich aus – aber Google Analytics, YouTube oder der Facebook-Pixel laden trotzdem sofort beim Seitenaufruf. Das lässt sich mit den Entwicklertools jedes Browsers in Sekunden nachweisen, und genau so arbeiten Abmahner. Ein Consent-Tool ist nur so gut wie seine technische Integration.

Karten und Videos ohne Zwei-Klick-Lösung

Die eingebettete Google-Maps-Karte auf der Anfahrtsseite, das Imagevideo von YouTube: Beides überträgt schon beim Laden der Seite Daten an US-Server. Die saubere Lösung ist eine Zwei-Klick-Einbindung – erst ein Platzhalterbild, die Karte oder das Video lädt erst nach aktivem Klick. Das kostet einmalig etwas Umsetzungsaufwand, nimmt aber eines der häufigsten Einfallstore für Beschwerden vom Tisch.

Was eine Abmahnung wirklich kostet (im Vergleich zur Vorsorge)

Rechnen wir das Szenario einmal nüchtern durch – ohne Panikmache, aber auch ohne Schönfärberei. Bei einer Abmahnung kommen typischerweise mehrere Posten zusammen:

  1. Die Anwaltskosten der Gegenseite, die Du bei berechtigter Abmahnung erstatten musst – je nach angesetztem Streitwert schnell ein vierstelliger Betrag.
  2. Dein eigener Anwalt, denn eine vorformulierte Unterlassungserklärung solltest Du niemals ungeprüft unterschreiben.
  3. Die Unterlassungserklärung selbst: Sie bindet Dich dauerhaft. Passiert derselbe Fehler später noch einmal – etwa nach einem unglücklichen Theme-Update –, wird die vereinbarte Vertragsstrafe fällig.
  4. Der interne Aufwand: Recherche, Abstimmung, kurzfristige Techniker-Einsätze – Zeit, die Dir im Tagesgeschäft fehlt.
  5. Im Behördenfall: Datenschutzbehörden können zusätzlich Bußgelder verhängen, auch wenn kleine Unternehmen bei Erstverstößen oft noch mit einer Anordnung davonkommen.

Dagegen steht die Vorsorge: ein einmaliges, planbares Projekt, das im Regelfall deutlich unter dem liegt, was allein der erste Posten einer Abmahnung kostet. Der eigentliche Unterschied ist aber nicht nur der Betrag, sondern die Kontrolle: Vorsorge planst Du ins Budget ein, eine Abmahnung landet unangekündigt im Briefkasten.

Hosting in Deutschland: Warum der Serverstandort zählt

Ein Baustein wird bei der Kostenfrage oft übersehen, dabei entscheidet er über eine ganze Kategorie von Pflichten: der Serverstandort. Sobald Deine Website bei einem US-Anbieter liegt, musst Du Dich mit Drittlandtransfers beschäftigen – einem Rechtsgebiet, das seit Jahren in Bewegung ist und schon mehrfach gekippte Abkommen hinter sich hat.

Liegt Deine Website dagegen bei einem deutschen Hoster in deutschen Rechenzentren, fällt dieser Themenblock schlicht weg: Die Datenverarbeitung bleibt innerhalb der EU, der AV-Vertrag ist nach deutschem Recht, und Du bist unabhängig davon, was zwischen Brüssel und Washington als Nächstes verhandelt wird. Genau deshalb hosten wir bei ypsilon.dev die Websites unserer Kunden bei IONOS in Deutschland – nicht als Marketing-Argument, sondern weil es die rechtlich einfachste und stabilste Grundlage ist, mit weniger laufenden Kosten für Anpassungen, wenn sich die Rechtslage mal wieder dreht.

DSGVO-Check: So prüfst Du Deine Website in 10 Minuten

Du musst kein Jurist sein, um die gröbsten Probleme selbst zu finden. Nimm Dir zehn Minuten und geh diese Punkte durch:

  1. Impressum und Datenschutzerklärung aufrufen (1 Minute): Sind beide von jeder Seite aus mit einem Klick erreichbar? Stimmen die Angaben noch – Adresse, Rechtsform, genannte Dienste?
  2. HTTPS prüfen (1 Minute): Zeigt der Browser das Schloss-Symbol? Funktioniert Deine Seite auch, wenn Du sie mit http:// aufrufst – wirst Du dann automatisch auf https:// umgeleitet?
  3. Google-Fonts-Test (2 Minuten): Öffne den Quelltext Deiner Startseite (Rechtsklick, “Seitenquelltext anzeigen”) und suche nach fonts.googleapis.com oder fonts.gstatic.com. Ein Treffer bedeutet: Schriften laden extern.
  4. Cookie-Verhalten testen (3 Minuten): Öffne Deine Website im privaten Fenster und die Entwicklertools (F12), Reiter “Netzwerk”. Laden Analytics, YouTube oder Werbe-Skripte, bevor Du im Banner etwas angeklickt hast? Dann blockiert Dein Banner nicht richtig.
  5. Ablehnen-Button suchen (1 Minute): Gibt es im Cookie-Banner auf der ersten Ebene eine echte Ablehnen-Option – gleichwertig zum Akzeptieren-Button, nicht versteckt im Untermenü?
  6. Einbettungen checken (1 Minute): Laden Google Maps, YouTube-Videos oder Social-Media-Feeds sofort, ohne Platzhalter und ohne Klick?
  7. Hosting und AV-Vertrag (1 Minute): Weißt Du, wo Deine Website gehostet ist – und hast Du mit dem Hoster einen Auftragsverarbeitungsvertrag abgeschlossen?

Jedes “Nein” oder jeder Treffer ist ein Punkt für Deine To-do-Liste. Und falls Du bei Punkt 4 oder 7 unsicher bist: Genau solche Fragen klären wir im Rahmen eines Website-Checks für unsere Kunden.

Häufige Fragen (FAQ)

Gilt die DSGVO auch für ganz kleine Websites?

Ja. Die DSGVO knüpft nicht an die Unternehmensgröße an, sondern an die Verarbeitung personenbezogener Daten – und die findet auf praktisch jeder Website statt, spätestens durch Server-Logs und Kontaktformular. Kleinere Websites haben aber meist auch weniger zu regeln, weil sie weniger Dienste einsetzen.

Reicht ein kostenloser Datenschutzerklärungs-Generator?

Ein guter Generator ist ein sinnvoller Ausgangspunkt – aber nur, wenn Du wirklich weißt, welche Dienste Deine Website nutzt. Genau daran scheitert es oft: Wer nicht weiß, dass sein Theme Google Fonts extern lädt, wählt diesen Punkt im Generator auch nicht aus. Die Erklärung ist dann formal vorhanden, passt aber nicht zur Realität der Website.

Was kostet es, eine bestehende Website nachträglich DSGVO-konform zu machen?

Das hängt vom Zustand ab: Anzahl der eingebundenen Dienste, Alter des Themes, ob bereits ein Consent-Tool existiert. Bei einer typischen KMU-Website ist es ein überschaubares, einmaliges Projekt plus gegebenenfalls laufende Tool-Lizenzen. Eine seriöse Zahl gibt es erst nach einer Bestandsaufnahme – pauschale Festpreise ohne Blick auf die Website solltest Du hinterfragen.

Muss meine Website zwingend in Deutschland gehostet werden?

Eine gesetzliche Pflicht dazu gibt es nicht – Hosting innerhalb der EU ist datenschutzrechtlich ebenfalls unproblematisch. Deutsches Hosting ist aber der einfachste Weg: keine Drittlandtransfer-Thematik, AV-Vertrag nach deutschem Recht, keine Abhängigkeit von Abkommen wie dem Data Privacy Framework.

Ist meine Website nach der Optimierung dauerhaft sicher?

Nicht automatisch. Jedes neue Plugin, jedes Theme-Update und jeder neue Dienst kann den Zustand verändern – der Klassiker ist ein Update, das Google Fonts wieder extern lädt. Deshalb gehört eine kurze Prüfung nach größeren Änderungen dazu, idealerweise als Teil einer regelmäßigen Website-Wartung.

Fazit: Planbare Kosten statt böser Überraschungen

Eine DSGVO-konforme Website ist kein Kostengrab – sie ist ein überschaubares Projekt mit klaren Bausteinen: saubere Rechtstexte, ein technisch korrekt eingebundenes Consent-Tool, lokal geladene Schriften, abgesicherte Einbettungen und ein Hoster, dem Du vertrauen kannst. Wer das einmal ordentlich umsetzt, schläft ruhiger – und spart sich das teuerste Szenario von allen: die ungeplante Abmahnung.

Du willst wissen, wo Deine Website steht? Dann melde Dich für ein kostenloses Erstgespräch – wir schauen uns Deine Seite an, benennen die konkreten Baustellen und sagen Dir ehrlich, was die Umsetzung kostet. Hier geht’s zur unverbindlichen Anfrage.

#DSGVO#Website-Kosten#Abmahnung#Datenschutz#KMU